[发明专利]下一代应用防火墙系统及防御方法

说明书

技术领域

本发明涉及到下一代应用防火墙技术，特别涉及到一种下一代应用防火墙系统及防御方法。

背景技术

当前网络应用高速发展，网络结构日益复杂化，传统防火墙的局限性被明显地体现出来：传统的防火墙基于IP(Internet Protocol，网络之间互连的协议)/端口，提供访问控制策略(Access Control List，ACL)和异常包过滤功能，但它的工作模式决定了它无法拦截来自应用层的攻击，如：蠕虫、病毒以及木马等。传统防火墙也无法分辨流量中具体的应用及其内容、无法区分用户，更无法分析记录用户的行为，即无法区分应用和内容将导致无法细化网络流量属性，因此对网络的掌控能力低，不能提供较好的服务质量；其无法分析记录用户的行为将不能满足安全要求。

由于传统防火墙功能上的缺失，使得企业在网络安全建设需要针对现有多样化的攻击类型采取打补丁式的设备叠加方案，形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙、入侵防御系统、网关杀毒以及其它设备叠加的形式。这种方式在一定程度上能弥补传统防火墙功能单一的缺陷，对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中，管理人员通常会遇到如下的困难：

(1)、效率低：同一数据包经过串联的各类设备，被重复拆包，重复解析，使整个网络的效率变得低下，运行速度变得十分缓慢；

(2)、维护成本高：众多设备需要提供足够的空间和环境支持，大大提高了维护成本；

(3)、管理复杂：独立设备、管理复杂，需要培养熟悉各类设备、各厂商设备的高级管理人员；同时也无法进行统一的安全风险分析。

针对上述缺陷，业界加以整改后推出UTM(Unified Threat Management，统一威胁管理)的概念。UTM的理念是将多个功能模块集中如：FW(fire wall)、IPS(Intrusion Prevention System，入侵防御系统)以及AV(Anti Virus，反病毒软件)，联合起来达到统一防护、集中管理的目的。UTM产品推出后也得到了用户的认可，市场份额增长迅速，但近年来各方面的数据显示UTM产品增长率同比有明显的下降趋势，可能是由如下缺陷造成：

(1)、UTM设备仅仅将FW、IPS、AV进行简单的整合，对应用和内容的掌控能力差，并且依然存在传统防火墙安全与管理上的问题，如缺乏对WEB服务器的有效防护等；

(2)、UTM中串接的安全设备需要经过多个安全模块的过滤，但多个模块安全模块之间各自为战、被动防护，无法协同作战，导致性能和效率较低下；

(3)、当业务对安全策略要求高时，UTM安全防护策略过于复杂，可视性差，使得管理员难以维护。

发明内容

本发明的主要目的为提供一种下一代应用防火墙系统，解决了传统安全设备的不足，同时开启所有功能后设备性能不会大幅下降。

本发明提出一种下一代应用防火墙系统防御方法，包括步骤：

获取数据流中的数据包；

对数据包中数据进行分析以及验证；

收集以及分析所述验证的结果，并根据对应的预设策略进行处理。

优选地，所述对数据包中数据进行分析以及验证的步骤之后还包括：

根据数据包中已被识别的数据应用类型配置处理策略。

优选地，所述根据数据包中数据已被识别的应用类型对应预设策略配置处理策略的步骤具体包括：

根据数据包的应用类型以及对应的预设策略，执行数据包的拦截、放行、重定向或流量整形动作。

优选地，所述对数据包中数据进行分析以及验证的步骤具体包括：

建立用户与会话的映射关系，拦截非法用户数据包；

识别数据包的具体应用；所述识别具体包括：基于协议和端口的检测、基于应用特征码的识别、基于流量特征的识别、基于应用内容的识别和/或检测应用交互过程的异常；

检测数据包内容中的威胁和/或关键数据。

优选地，所述收集以及分析所述验证的结果，并根据对应的预设策略进行处理的步骤具体包括：

记录会话中数据包存在威胁的动作，根据记录计算威胁阈值并根据标准威胁样本库进行匹配，识别未知威胁。

优选地，所述方法还包括：

预先配置可能出现事件的预设策略。

优选地，所述方法还包括：

记录系统产生的日志与审计结果。

优选地，所述方法还包括：

将系统的分析以及处理结果、日志与审计结果整理后显示。